Làm thế nào có thể bất kỳ công ty nào còn tin vào Microsoft một lần nữa?

Thứ ba - 30/07/2013 10:45
How Can Any Company Ever Trust Microsoft Again?

Published 14:34, 17 June 13, by Glyn Moody

Theo: http://blogs.computerworlduk.com/open-enterprise/2013/06/how-can-any-company-ever-trust-microsoft-again/index.htm

Bài được đưa lên Internet ngày: 17/06/2013

Lời người dịch: Bạn nghĩ là bạn bỏ tiền mua phần mềm của Microsoft và hy vọng Microsoft sẽ đảm bảo an ninh an toàn cho hệ thống của bạn, đúng không? Có lẽ đọc xong bài này, bạn mới ngã ngửa ra rằng, bạn đích thực là một con lừa!. “Những gì các công ty và chính phủ muốn là các lỗi đó sẽ được sửa càng nhanh càng tốt, sao cho chúng không thể bị bọn tội phạm khai thác để gây ra thiệt hại trong các hệ thống của họ, Và rồi bây giờ chúng ta biết được rằng một trong những điều đầu tiên mà Microsoft làm là gửi thông tin về các chỗ bị tổn thương đó cho “nhiều cơ quan” - có thể đoán chừng là cả NSA và CIA. Hơn nữa, chúng ta cũng biết rằng “dạng cảnh báo sớm này đã cho phép Mỹ khai thác những chỗ bị tổn thương trong phần mềm được bán cho các chính phủ nước ngoài”. “Điều đó có nghĩa có khả năng cao là các chỗ bị tổn thương trong các sản phẩm của Microsoft thường xuyên được sử dụng để đột nhập vào các chính phủ và công ty nước ngoài vì mục đích gián điệp các dạng khác nhau. Vì thế mỗi lần một công ty cài đặt một bản vá mới từ Microsoft để sửa các lỗi chủ chốt, thì đáng ghi nhớ trong đầu rằng ai đó có thể đã vừa sử dụng chỗ bị tổn thương đó cho các mục đích bất chính. Những tác động của điều này thực sự là sâu sắc hơn. Các công ty mua các sản phẩm của Microsoft vì nhiều lý do, nhưng họ tất cả giả thiết rằng công ty đang làm tốt nhất để bảo vệ họ. Những phát hiện mới nhất chỉ ra rằng giả thiết đó là sai: Microsoft cố ý và thường xuyên chuyển thông tin về cách để đột nhập vào các sản phẩm của hãng cho các cơ quan của Mỹ. Những gì xảy ra đối với thông tin đó sau đó là, tất nhiên, một điều bí mật””. Bạn hãy cố đọc hết bài để thấy bạn đã bị lừa như thế nào! Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Bất chấp các chi tiết về những tiết lộ hiện hành về việc gián điệp của Mỹ đang được Edward Snowden cung cấp trên tờ Guardian, có rồi một lợi ích phụ thêm khổng lồ. Một mặt, chính phủ Mỹ bản thân nó từ chối một số lý lẽ bằng việc đưa ra phiên bản riêng của mình về câu chuyện đó. Điều đó lần đầu tiên cho chúng ta các chi tiết chính thức về các chương trình mà trước đó chúng ta chỉ biết được thông qua những rò rỉ và tin đồn, nếu có. Hơn nữa, sự vội vàng không tề chỉnh và việc thường xuyên chuyển câu chuyện từ các nhà chức trách Mỹ là sự khẳng định, nếu bất kỳ ai vẫn còn cần nó, rằng những gì Snowden đang tiết lộ là quan trọng - bạn không tung tăng với một phiền phức không vì gì cả.

Nhưng có lẽ thậm chí sống còn hơn, các nhà báo khác cuối cùng đã thấy xấu hổ trong việc yêu cầu motoj số câu hỏi mà họ đã phải hỏi nhiều năm và thậm chí hàng thập kỷ trước. Điều này đã gây ra một loạt câu chuyện cực kỳ thú vị về việc gián điệp của NSA, nhiều trong số đó có sự khẳng định một cách lệ thuộc rằng điều đó cũng quan trọng như câu chuyện chính vậy. Đây là một ví dụ tuyệt vời đã xuất hiện vào cuối tuần trên site Bloomberg.

Giữa những điều khác, đây là về Microsoft, và ở mức độ nào đó nó đã và đang giúp sự gián điệp của NSA đối với thế giới. Tất nhiên, điều đó không phải là một nỗi sợ hãi mới. Từ nâm 1999, đã được khẳng định rằng các cửa hậu đã được xây dựng trong Windows.

Một sai lầm bất cẩn của các lập trình viên của Microsoft đã tiết lộ rằng các mã truy cập đặc biệt được Cơ quan An ninh Quốc gia Mỹ chuẩn bị đã đã xây dựng một cách bí mật trong Windows. Hệ thống truy cập của NSA được xây dựng trong từng phiên bản của hệ điều hành Windows bây giờ đang được sử dụng, ngoại trừ các phát hành sớm của Windows 95 (và các tiền bối của nó). Sự khám phá đi tới cần gót chân của các tiết lộ đầu năm nay rằng những người khổng lồ phần mềm Mỹ khác, Lotus, đã xây dựng một cửa gài bẫy “thông tin trợ giúp” của NSA trong hệ thống Notes, và rằng các chức năng an ninh trong các hệ thống phần mềm khác đã bị làm què một cách cố ý.

Gần đây hơn, đã có lo ngại về Skype, được Microsoft mua vào tháng 05/2011. Vào năm 2012, đã có những thảo luận về việc liệu Microsoft đã thay đổi kiến trúc của Skype để làm cho việc ăn cắp dễ dàng hơn (công ty thậm chí đã có một bằng sáng chế về ý tưởng đó). Những rò rỉ gần đây dường như khẳng định rằng những sợ hãi đó đã được thấy đúng, như Slate chỉ ra:

Đã có nhiều chi tiết nổi bật trong cú đánh trên tờ Bưu điện Washington về PRISM và các khả năng của nó, nhưng một phần đặc biệt làm tôi chú ý. Tờ Bưu điện, khi trích dẫn một slide PowerPoint tuyệt mật của NSA, đã viết rằng cơ quan này có một “Hướng dẫn đặc biệt cho Người sử dụng Thu thập Skype theo PRISM” phác họa cách mà nó có thể nghe trộm trong Skype “khi một đầu của cuộc gọi là một điện thoại thông thường và cho bất kỳ sự kết hợp nào của 'âm thanh tiếng nói, video, chat và truyền tệp' khi những người sử dụng Skype kết nối bằng máy tính đứng một mình”.

Nhưng thậm chí điều đó lu mờ đi đáng kể khi được so sánh với thông tin mới nhất mà Bloomberg có được: Tập đoàn Microsoft, công ty phần mềm lớn nhất thế giới, cung cấp cho các cơ quan tình báo các thông tin về các lỗi trong phần mềm phổ biến của nó trước khi nó phát hành công khai một bản vá, theo 2 người quen biết với quá trình này. Thông tin đó có thể được sử dụng để bảo vệ các máy tính của chính phủ và để truy cập các máy tính của các tên khủng bố hoặc quân đội của địch.

Redmond, Washington, nơi đóng đô của Microsoft (MSFT) và các công ty an ninh Internet và phần mềm khác, đã nhận thức được rằng dạng cảnh báo sớm này đã cho phép Mỹ khai thác các chỗ bị tổn thương trong phần mềm được bán cho các chính phủ nước ngoài, theo 2 quan chức Mỹ. Microsoft không yêu cầu và không thể được nói cách mà chính phủ sử dụng những mẹo đểu như vậy, các quan chức nói, những người đã yêu cầu không được tiết lộ danh tính vì vấn đề là bí mật.

Frank Shaw, người phát ngôn cho Microsoft, nói các phiên bản đó xảy ra trong sự hợp tác với nhiều cơ quan và được thiết kế để trao cho chính phủ “một sự khởi đầu sớm” trong đánh giá và giảm nhẹ rủi ro.

Vì thế hãy nghĩ về điều đó một chút.

Các công ty và chính phủ mua phần mềm của Microsoft, phụ thuộc vào công ty để tạo ra các chương trình mà là an ninh và an toàn. Không phần mềm nào là hoàn toàn không có lỗi, và những lỗi nghiêm trọng thường thấy trong mã của Microsoft (và cả trong nguồn mở nữa, tất nhiên). Vì thế vấn đề không phải là về liệu phần mềm có lỗi hay không - mỗi mẩu mã không bình thường đều có lỗi - nhưng các mà mọi người sản xuất mã đó ứng xử với chúng.

Những gì các công ty và chính phủ muốn là các lỗi đó sẽ được sửa càng nhanh càng tốt, sao cho chúng không thể bị bọn tội phạm khai thác để gây ra thiệt hại trong các hệ thống của họ, Và rồi bây giờ chúng ta biết được rằng một trong những điều đầu tiên mà Microsoft làm là gửi thông tin về các chỗ bị tổn thương đó cho “nhiều cơ quan” - có thể đoán chừng là cả NSA và CIA. Hơn nữa, chúng ta cũng biết rằng “dạng cảnh báo sớm này đã cho phép Mỹ khai thác những chỗ bị tổn thương trong phần mềm được bán cho các chính phủ nước ngoài”.

Và hãy nhớ rằng “các chính phủ nước ngoài” có nghĩa là các chính phủ ở các nước của Liên minh châu Âu cũng như ở những nơi khác (thực tế là chính phủ Anh đã gián điệp các nước “bạn bè” nhấn mạnh rằng mỗi người đều đang làm điều đó). Hơn nữa, có thể là ngây thơ để nghĩ rằng các cơ quan gián điệp của Mỹ đang sử dụng các khai thác ngày số 0 đó thuần túy để đột nhập vào các hệ thống chính phủ; gián điệp công nghiệp đã tạo thành một phần của hệ thống giám sát Echelon cũ hơn, và không có lý do nào để nghĩ rằng Mỹ sẽ tự cản trở mình một ngày nào đó (nếu có, thì mọi điều còn tồi tệ hơn).

Điều đó có nghĩa có khả năng cao là các chỗ bị tổn thương trong các sản phẩm của Microsoft thường xuyên được sử dụng để đột nhập vào các chính phủ và công ty nước ngoài vì mục đích gián điệp các dạng khác nhau. Vì thế mỗi lần một công ty cài đặt một bản vá mới từ Microsoft để sửa các lỗi chủ chốt, thì đáng ghi nhớ trong đầu rằng ai đó có thể đã vừa sử dụng chỗ bị tổn thương đó cho các mục đích bất chính.

Những tác động của điều này thực sự là sâu sắc hơn. Các công ty mua các sản phẩm của Microsoft vì nhiều lý do, nhưng họ tất cả giả thiết rằng công ty đang làm tốt nhất để bảo vệ họ. Những phát hiện mới nhất chỉ ra rằng giả thiết đó là sai: Microsoft cố ý và thường xuyên chuyển thông tin về cách để đột nhập vào các sản phẩm của hãng cho các cơ quan của Mỹ. Những gì xảy ra đối với thông tin đó sau đó là, tất nhiên, một điều bí mật. Không vì “chủ nghĩa khủng bố”, mà vì hầu hết chắc chắn các cuộc tấn công bất hợp pháp đang được thực hiện chống lại các quốc gia bên ngoài nước Mỹ, và các công ty của họ.

Điều đó không gì ít hơn một sự phản bội lòng tin mà những người sử dụng đặt vào Microsoft, và tôi hồ nghi cách mà bất kỳ nhà quản lý CNTT nào có thể khuyến cáo nghiêm túc sử dụng các sản phẩm của Microsoft một lần nữa bây giờ rằng chúng ta biết họ hầu như chắc chắn là kẻ trung gian của các cuộc tấn công của các cơ quan gián điệp của Mỹ mà có thể gây ra một cách tiềm tàng vô số sự mất mát cho các công ty có liên quan (như đã xảy ra với Echelon).

Mà còn có góc thú vị khác. Dù không nhiều được viết về nó - bao gồm cả tôi, nỗi xấu hổ của tôi - một thỏa thuận pháp lý mới làm việc với những kẻ tấn công trực tuyến đang được phác thảo tại Liên minh châu Âu. Đây là một khía cạnh của nó:

Văn bản có thể yêu cầu các quốc gia thành viên thiết lập các khoản bỏ tù không ít hơn 2 năm đối với các phạm tội về: truy cập bất hợp pháp hoặc can thiệp vào các hệ thống thông tin, can thiệp bất hợp pháp vào các dữ liệu, chặn đường bất hợp pháp các giao tiếp hoặc tạo ra và bán một cách cố ý các công cụ được sử dụng để thực hiện các cuộc tấn công đó.

“Truy cập hoặc can thiệp bất hợp pháp các hệ thống thông tin” dường như chính xác là những gì mà chính phủ Mỹ đang làm đối với các hệ thống nước ngoài, giả thiết bao gồm cả các nước của EU. Vì thế có thể chỉ ra rằng chính phủ Mỹ sẽ là thứ hôi thối đối với các qui định mới đó. Mà có lẽ cả Microsoft cũng vậy, vì nó rõ ràng tiến hành “truy cập bất hợp pháp” có khả năng ngay từ đầu.

Và còn một khía cạnh khác nữa. Giả sử các vụ gián điệp của Mỹ đã sử dụng các lỗi trong các phần mềm của Microsoft để đột nhập vào một hệ thống doanh nghiệp và gián điệp các bên thứ 3. Tôi nghi ngờ liệu các không ty có thể tự mình tìm thấy bị kết tội về tất cả các dạng tội phạm mà họ không biết gì, và đối mặt với lời kết tội như là một kết quả. Việc chứng minh vô tội ở đây có thể là khó, vì có thể đúng là các hệ thống của công ty đó đã được sử dụng cho việc gián điệp.

Ít nhất, rủi ro đó còn là lý do tốt khác không bao giờ sử dụng phần mềm của Microsoft, cùng với tất cả những điều khác mà tôi đã và đang viết ở đây nhiều năm. Không chỉ nguồn mở thường là rẻ hơn (đặc biệt một khi bạn tính tới chi phí bị khóa trói mà phần mêm của Microsoft mang lại), được viết tốt hơn, nhanh hơn, tin cậy hơn và an ninh hơn, mà hơn tất cả, phần mềm tự do tôn trọng người sử dụng, đặt họ chắc chắn trong sự kiểm soát.

Nó vì thế giải phóng bạn khỏi những lo ngại mà công ty cung cấp một chương trình sẽ cho phép những người khác bí mật biến phần mềm mà bạn đã mất tiền mua để chống lại và làm hại bạn. Sau tất cả, hầu hết việc sửa lỗi trong nguồn mở được các lập trình viên thực hiện có ít tình yêu đối với mệnh lệnh từ trên xuống, vì thế khả năng là họ sẽ có thiện chí chuyển các chỗ bị tổn thương cho NSA một cách thường xuyên, như Microsoft làm, phải là nhỏ tới mức bị triệt tiêu.

Irrespective of the details of the current revelations about US spying being provided by Edward Snowden in the Guardian, there is already a huge collateral benefit. On the one hand, the US government is falling over itself to deny some of the allegations by offering its own version of the story. That for the first time gives us official details about programmes that before we only knew through leaks and rumours, if at all. Moreover, the unseemly haste and constantly-shifting story f-rom the US authorities is confirmation, if anyone still needed it, that what Snowden is revealing is important - you don't kick up such a fuss over nothing.

But perhaps even more crucially, other journalists have finally been shamed into asking some of the questions they ought to have asked years and even decades ago. This has resulted in a series of extremely interesting stories about NSA spying, many of which contain ancillary information that is just as important as the main story. Here's a great example that appeared over the weekend on the Bloomberg site.

Among other things, it is about Microsoft, and the extent to which it has been helping the NSA spy on the world. Of course, that's not a new fear. Back in 1999, it was asserted that backdoors had been built into Windows:

A careless mistake by Microsoft programmers has revealed that special access codes prepared by the US National Security Agency have been secretly built into Windows. The NSA access system is built into every version of the Windows operating system now in use, except early releases of Windows 95 (and its predecessors). The discovery comes close on the heels of the revelations earlier this year that another US software giant, Lotus, had built an NSA "help information" trapdoor into its Notes system, and that security functions on other software systems had been deliberately crippled.

More recently, there has been concern about Skype, bought by Microsoft in May 2011. In 2012, there were discussions about whether Microsoft had changed Skype's architecture in order to make snooping easier (the company even had a patent on the idea.) The recent leaks seems to confirm that those fears were well founded, as Slate points out:

There were many striking details in the Washington Post’s scoop about PRISM and its capabilities, but one part in particular stood out to me. The Post, citing a top-secret NSA PowerPoint slide, wrote that the agency has a specific “User’s Guide for PRISM Skype Collection” that outlines how it can eavesd-rop on Skype “when one end of the call is a conventional telephone and for any combination of 'audio, video, chat, and file transfers' when Skype users connect by computer alone.”

But even that pales into insignificance compared to the latest information obtained by Bloomberg:

Microsoft Corp., the world’s largest software company, provides intelligence agencies with information about bugs in its popular software before it publicly releases a fix, according to two people familiar with the process. That information can be used to protect government computers and to access the computers of terrorists or military foes.

Redmond, Washington-based Microsoft (MSFT) and other software or Internet security companies have been aware that this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments, according to two U.S. officials. Microsoft doesn’t ask and can’t be told how the government uses such tip-offs, said the officials, who asked not to be identified because the matter is confidential.

Frank Shaw, a spokesman for Microsoft, said those releases occur in cooperation with multiple agencies and are designed to give government “an early start” on risk assessment and mitigation.

So let's think about that for a moment.

Companies and governments buy Microsoft's software, depending on the company to cre-ate programs that are secure and safe. No software is completely bug-free, and serious flaws are frequently found in Microsoft's code (and in open source, too, of course.) So the issue is not about whether software has flaws - every non-trivial piece of code does - but how the people who produce that code respond to them.

What companies and governments want is for those flaws to be fixed as soon as possible, so that they can't be exploited by criminals to wreak damage on their systems. And yet we now learn that one of the first things that Microsoft does is to send information about those vulnerabilities to "multiple agencies" - presumably that includes the NSA and CIA. Moreover, we also know that "this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments".

And remember that "foreign governments" mean those in EU countries as well as elsewhe-re (the fact that the UK government has been spying on "friendly" countries emphasises that everyone is doing it.) Moreover, it would be naïve to think that the US spy agencies are using these zero-day exploits purely to break into government systems; industrial espionage formed part of the older Echelon surveillance system, and there's no reason to think that the US will restrain itself nowadays (if anything, things have got far worse.)

That means it's highly likely that vulnerabilities in Microsoft products are routinely being used to break into foreign governments and companies for the purpose of various kinds of espionage. So every time a company installs a new patch f-rom Microsoft to fix major flaws, it's worth bearing in mind that someone may have just used that vulnerability for nefarious purposes.

The implications of this are really rather profound. Companies buy Microsoft products for many reasons, but they all assume that the company is doing its best to protect them. The latest revelations shows that is a false assumption: Microsoft consciously and regularly passes on information about how to break into its products to US agencies. What happens to that information thereafter is, of course, a secret. Not because of "terrorism", but because almost certainly illegal attacks are being made against countries outside the US, and their companies.

That is nothing less than a betrayal of the trust that users place in Microsoft, and I wonder how any IT manager can seriously recommend using Microsoft products again now that we know they are almost certainly vectors of attacks by US spy agencies that potentially could cause enormous losses to the companies concerned (as happened with Echelon.)

But there's another interesting angle. Although not much has been written about it - including by me, to my shame - a new legislative agreement dealing with online attacks is being drawn up in the EU. Here's one aspect of it:

The text would require member states to set their maximum terms of imprisonment at not less than two years for the crimes of: illegally accessing or interfering with information systems, illegally interfering with data, illegally intercepting communications or intentionally producing and selling tools used to commit these offences.

"Illegally accessing or interfering with information systems" seems to be precisely what the US government is doing to foreign systems, presumably including those in the EU too. So that would indicate that the US government will fall foul of these new regulations. But maybe Microsoft will too, since it is clearly making the "illegal access" possible in the first place.

And there's another aspect. Suppose that the US spies used flaws in Microsoft's software to break into a corporate system and to spy on third parties. I wonder whether companies might find themselves accused of all sorts of crimes about which they know nothing, and face prosecution as a result. Proving innocence here would be difficult, since it would be true that the company's systems were used for spying.

At the very least, that risk is yet another good reason never to use Microsoft's software, along with all the others that I have been writing about here for years. Not just that open source is generally cheaper (especially once you take into account the cost of lock-in that Microsoft software brings with it), better written, faster, more reliable and more secure, but that above all, free software respects its users, placing them firmly in control.

It thus frees you f-rom concerns that the company supplying a program will allow others secretly to turn the software you paid good money for against you to your detriment. After all, most of the bug-fixing in open source is done by coders that have little love for top-down authority, so the likelihood that they will be willing to hand over vulnerabilities to the NSA on a regular basis, as Microsoft does, must be vanishingly small.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập21
  • Máy chủ tìm kiếm3
  • Khách viếng thăm18
  • Hôm nay4,646
  • Tháng hiện tại106,358
  • Tổng lượt truy cập31,261,830
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây